<!DOCTYPE html>



  


<html class="theme-next muse use-motion" lang="zh-Hans">
<head><meta name="generator" content="Hexo 3.8.0">
  <meta charset="UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
<meta name="theme-color" content="#222">









<meta http-equiv="Cache-Control" content="no-transform">
<meta http-equiv="Cache-Control" content="no-siteapp">
















  
  
  <link href="/lib/fancybox/source/jquery.fancybox.css?v=2.1.5" rel="stylesheet" type="text/css">







<link href="/lib/font-awesome/css/font-awesome.min.css?v=4.6.2" rel="stylesheet" type="text/css">

<link href="/css/main.css?v=5.1.4" rel="stylesheet" type="text/css">


  <link rel="apple-touch-icon" sizes="180x180" href="/images/apple-touch-icon-next.png?v=5.1.4">


  <link rel="icon" type="image/png" sizes="32x32" href="/images/favicon-32x32-next.png?v=5.1.4">


  <link rel="icon" type="image/png" sizes="16x16" href="/images/favicon-16x16-next.png?v=5.1.4">


  <link rel="mask-icon" href="/images/logo.svg?v=5.1.4" color="#222">





  <meta name="keywords" content="OAuth,">










<meta name="description" content="&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;它可以使第三方应用程序或客户端获得对HTTP服务上（例如 Google，GitHub ）用户帐户信息的有限访问权限。OAuth 2 通过将用户身份验证委派给托管用户帐户的服务以及授权客户端访问用户帐户进行工作。OAuth 是一个授权标准，它可以使第三方应用程序或客户端获得对HTTP服务上（例如 Google，GitHub ）用">
<meta name="keywords" content="OAuth">
<meta property="og:type" content="article">
<meta property="og:title" content="OAuth 协议">
<meta property="og:url" content="http://sangaizhi.gitee.io/2018/11/24/2018-11-24-oauth/index.html">
<meta property="og:site_name" content="sangaizhi-blog">
<meta property="og:description" content="&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;它可以使第三方应用程序或客户端获得对HTTP服务上（例如 Google，GitHub ）用户帐户信息的有限访问权限。OAuth 2 通过将用户身份验证委派给托管用户帐户的服务以及授权客户端访问用户帐户进行工作。OAuth 是一个授权标准，它可以使第三方应用程序或客户端获得对HTTP服务上（例如 Google，GitHub ）用">
<meta property="og:locale" content="zh-Hans">
<meta property="og:image" content="http://sangaizhi.gitee.io/2018/11/24/2018-11-24-oauth/image1.png">
<meta property="og:image" content="http://sangaizhi.gitee.io/2018/11/24/2018-11-24-oauth/image2.png">
<meta property="og:image" content="http://sangaizhi.gitee.io/2018/11/24/2018-11-24-oauth/image4.png">
<meta property="og:image" content="http://sangaizhi.gitee.io/2018/11/24/2018-11-24-oauth/image3.png">
<meta property="og:updated_time" content="2018-12-11T13:18:36.059Z">
<meta name="twitter:card" content="summary">
<meta name="twitter:title" content="OAuth 协议">
<meta name="twitter:description" content="&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;它可以使第三方应用程序或客户端获得对HTTP服务上（例如 Google，GitHub ）用户帐户信息的有限访问权限。OAuth 2 通过将用户身份验证委派给托管用户帐户的服务以及授权客户端访问用户帐户进行工作。OAuth 是一个授权标准，它可以使第三方应用程序或客户端获得对HTTP服务上（例如 Google，GitHub ）用">
<meta name="twitter:image" content="http://sangaizhi.gitee.io/2018/11/24/2018-11-24-oauth/image1.png">



<script type="text/javascript" id="hexo.configurations">
  var NexT = window.NexT || {};
  var CONFIG = {
    root: '/',
    scheme: 'Muse',
    version: '5.1.4',
    sidebar: {"position":"left","display":"post","offset":12,"b2t":false,"scrollpercent":false,"onmobile":false},
    fancybox: true,
    tabs: true,
    motion: {"enable":true,"async":false,"transition":{"post_block":"fadeIn","post_header":"slideDownIn","post_body":"slideDownIn","coll_header":"slideLeftIn","sidebar":"slideUpIn"}},
    duoshuo: {
      userId: '0',
      author: '博主'
    },
    algolia: {
      applicationID: '',
      apiKey: '',
      indexName: '',
      hits: {"per_page":10},
      labels: {"input_placeholder":"Search for Posts","hits_empty":"We didn't find any results for the search: ${query}","hits_stats":"${hits} results found in ${time} ms"}
    }
  };
</script>



  <link rel="canonical" href="http://sangaizhi.gitee.io/2018/11/24/2018-11-24-oauth/">





  <title>OAuth 协议 | sangaizhi-blog</title>
  








</head>

<body itemscope="" itemtype="http://schema.org/WebPage" lang="zh-Hans">

  
  
    
  

  <div class="container sidebar-position-left page-post-detail">
    <div class="headband"></div>

    <header id="header" class="header" itemscope="" itemtype="http://schema.org/WPHeader">
      <div class="header-inner"><div class="site-brand-wrapper">
  <div class="site-meta ">
    

    <div class="custom-logo-site-title">
      <a href="/" class="brand" rel="start">
        <span class="logo-line-before"><i></i></span>
        <span class="site-title">sangaizhi-blog</span>
        <span class="logo-line-after"><i></i></span>
      </a>
    </div>
      
        <p class="site-subtitle"></p>
      
  </div>

  <div class="site-nav-toggle">
    <button>
      <span class="btn-bar"></span>
      <span class="btn-bar"></span>
      <span class="btn-bar"></span>
    </button>
  </div>
</div>

<nav class="site-nav">
  

  
    <ul id="menu" class="menu">
      
        
        <li class="menu-item menu-item-home">
          <a href="/" rel="section">
            
              <i class="menu-item-icon fa fa-fw fa-home"></i> <br>
            
            首页
          </a>
        </li>
      
        
        <li class="menu-item menu-item-categories">
          <a href="/categories/" rel="section">
            
              <i class="menu-item-icon fa fa-fw fa-th"></i> <br>
            
            分类
          </a>
        </li>
      
        
        <li class="menu-item menu-item-archives">
          <a href="/archives/" rel="section">
            
              <i class="menu-item-icon fa fa-fw fa-archive"></i> <br>
            
            归档
          </a>
        </li>
      
        
        <li class="menu-item menu-item-tags">
          <a href="/tags/" rel="section">
            
              <i class="menu-item-icon fa fa-fw fa-tags"></i> <br>
            
            标签
          </a>
        </li>
      
        
        <li class="menu-item menu-item-about">
          <a href="/about/" rel="section">
            
              <i class="menu-item-icon fa fa-fw fa-user"></i> <br>
            
            关于
          </a>
        </li>
      

      
    </ul>
  

  
</nav>



 </div>
    </header>

    <main id="main" class="main">
      <div class="main-inner">
        <div class="content-wrap">
          <div id="content" class="content">
            

  <div id="posts" class="posts-expand">
    

  

  
  
  

  <article class="post post-type-normal" itemscope="" itemtype="http://schema.org/Article">
  
  
  
  <div class="post-block">
    <link itemprop="mainEntityOfPage" href="http://sangaizhi.gitee.io/2018/11/24/2018-11-24-oauth/">

    <span hidden itemprop="author" itemscope="" itemtype="http://schema.org/Person">
      <meta itemprop="name" content="sangaizhi">
      <meta itemprop="description" content="">
      <meta itemprop="image" content="/images/avatar.gif">
    </span>

    <span hidden itemprop="publisher" itemscope="" itemtype="http://schema.org/Organization">
      <meta itemprop="name" content="sangaizhi-blog">
    </span>

    
      <header class="post-header">

        
        
          <h1 class="post-title" itemprop="name headline">OAuth 协议</h1>
        

        <div class="post-meta">
          <span class="post-time">
            
              <span class="post-meta-item-icon">
                <i class="fa fa-calendar-o"></i>
              </span>
              
                <span class="post-meta-item-text">发表于</span>
              
              <time title="创建于" itemprop="dateCreated datePublished" datetime="2018-11-24T21:54:32+08:00">
                2018-11-24
              </time>
            

            

            
          </span>

          
            <span class="post-category">
            
              <span class="post-meta-divider">|</span>
            
              <span class="post-meta-item-icon">
                <i class="fa fa-folder-o"></i>
              </span>
              
                <span class="post-meta-item-text">分类于</span>
              
              
                <span itemprop="about" itemscope="" itemtype="http://schema.org/Thing">
                  <a href="/categories/OAuth/" itemprop="url" rel="index">
                    <span itemprop="name">OAuth</span>
                  </a>
                </span>

                
                
              
            </span>
          

          
            
          

          
          

          

          

          

        </div>
      </header>
    

    
    
    
    <div class="post-body" itemprop="articleBody">

      
      

      
        <p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;它可以使第三方应用程序或客户端获得对HTTP服务上（例如 Google，GitHub ）用户帐户信息的有限访问权限。OAuth 2 通过将用户身份验证委派给托管用户帐户的服务以及授权客户端访问用户帐户进行工作。OAuth 是一个授权标准，它可以使第三方应用程序或客户端获得对HTTP服务上（例如 Google，GitHub ）用户帐户信息的有限访问权限。OAuth 2 通过将用户身份验证委派给托管用户帐户的服务以及授权客户端访问用户帐户进行工作。<br><a id="more"></a></p>
<h3 id="一、OAuth-协议要解决的问题是什么"><a href="#一、OAuth-协议要解决的问题是什么" class="headerlink" title="一、OAuth 协议要解决的问题是什么"></a>一、OAuth 协议要解决的问题是什么</h3><pre><code>    我们通过一个例子来说明这个问题。
    我们都用过微信，微信中有一个功能叫做收藏，有很多人喜欢使用该功能来收藏平时看到的比较喜欢的东西（文章、图片之类的）。
那么现在，我们开发了一个笔记之类功能的应用，而这个应用支持导入用户微信里面收藏的文章获图片。那么这里就存在这么个问题，微信肯定不会允许
笔记应用随意的读取用户收藏的内容。那么这个时候我们就需要用户的授权，允许笔记应用读取微信收藏里面的内容，在拿到这个授权后，我们就可以告
诉微信，用户同意了我们应用读取收藏的内容。这个时候微信就会把用户收藏的内容开放给笔记应用。那么我们是如何得到用户的授权呢？在没有 OAuth
的情况下，我们可能会直接向用户询问微信账户和密码。但是这种方案会在很多问题：
    ①: 用户本意是让应用访问收藏里面的内容，但是在拿到账号和密码后，应用可以访问用户在微信上的所有数据。
    ②: 当应用读取完收藏的内容后，用户需要收回授权，而此时，用户只能通过修改密码。但这样，可能会影响用户给其他第三方平台的授权。
    ③: 由于密码给到了多个第三方应用，只要有其中任何一个应用发生安全事故导致密码泄露，那就用户的微信密码可能就会泄露。
而 OAuth 就是用来解决这些问题而诞生的。OAuth 的主要思路就是不要向用户要求微信的账号和密码，而是让用户交给我们一个令牌(token),那么应用
在访问微信收藏中的内容时，不在通过用户的账号和密码，而是通过用户给的这个 token。那么上面的那些问题就都不存在了，因为这个 token 中会包
含如下信息：
    ①：应用可以访问的数据范围（只能访问收藏数据）；
    ②：token 的过期时间;
</code></pre><p>整体过程可以用下图描述：<br> <img src="/2018/11/24/2018-11-24-oauth/image1.png" alt="img"></p>
<h3 id="二、OAuth-协议中各种角色"><a href="#二、OAuth-协议中各种角色" class="headerlink" title="二、OAuth 协议中各种角色"></a>二、OAuth 协议中各种角色</h3><pre><code>1、服务提供商(Provider)
   前面说过，应用需要通过一个 token 去拿到用户的数据，那么谁来提供这个token ？事实就是这个 token 就是服务提供商提供的。
   在前面的例子中，微信就是服务提供商。
2、资源所有者（Resources Owner）
   什么是资源所有者？就是资源拥有方。在上面的例子中，收藏的内容就是资源，而资源所有者就是用户。
3、第三方应用 (Client)
   在上面的例子中，笔记应用就是 client。
4、认证服务器（Authorization Server）
   认证服务器是在服务提供商中的，它的作用就是认证用户的身份并且产生 token。
5、资源服务器(Resources Server)
   资源服务器也是在服务提供商中的，它的主要作用有两个:
    ①：保存用户的资源
    ②: 验证 token (第三方应用在获取用户的数据时，会携带一个 token，而资源服务器就会验证这个token,只有通过了，
        才会把相应的资源给 client)。
</code></pre><p>所有的角色可以用下图描述：<br> <img src="/2018/11/24/2018-11-24-oauth/image2.png" alt="img"></p>
<h3 id="三、OAuth-协议的运行流程"><a href="#三、OAuth-协议的运行流程" class="headerlink" title="三、OAuth 协议的运行流程"></a>三、OAuth 协议的运行流程</h3><p>OAuth 协议的运行流程如下图：<br><img src="/2018/11/24/2018-11-24-oauth/image4.png" alt="OAuth协议运行流程">    </p>
<pre><code>1、首先、第一步，用户访问第三方应用；
2、第二步，第三方应用请求用户授权；
3、第三步，同意获不同意授权；不同意的话就没有下文了，同意的话就继续第四步；
4、第三方应用在获得同意后，会去访问服务提供商的认证服务器申请令牌，告诉认证服务器用户同意了；
5、认证服务器在接到第三方应用申请令牌的请求后，获取验证第三方应用是否真正获取用户的授权；如果验证通过，认证服务器就
   会发放一个令牌给第三方应用。
6、第三方应用在拿到 token 后，会拿着这个 token 去资源服务器申请资源；
7、资源服务器在接收到 第三方应用申请资源的请求后，会去验证 第三方应用的 token 是否有效，有效的话就会开放资源给第三方应用。

    在上面7个步骤中，除了第一步访问client之外，第二、第三步是非常重要的，第三方应用只有在得到用户的授权后，才能去申请令牌，继而获取
资源。那么，在 OAuth 中,根据不同的场景，一共定义了几种不同的授权模式。
    1)、授权码模式(authorization code)
        功能最完整，流程最严密的一个模式，现在互联网的所有提供商都是采用授权码模式完成 Oauth 流程.
        这个模式的主要流程实现步骤如下：
            首先，还是用户访问 client，如果 client 需要用户授权，client就会将用户导向服务提供商的认证服务器，用户同意授权的动作会在
        认证服务器上完成；如果用户同意授权，那么认证服务器会把用户重新导回到 client,并且携带授权码（不是令牌）。在 client 拿到授权码
        后,会拿着这个授权码去认证服务器申请令牌（这个动作在 client 后台完成，对用户不可见）。然后认证服务器会确认这个授权码是不是之前
        发放的，如果是，会发放令牌给client。
        具体如图：
</code></pre><p><img src="/2018/11/24/2018-11-24-oauth/image3.png" alt="img"><br>            特点：<br>                ①：用户同意授权的这个动作实在认证服务器上进行的。<br>                ②：用户同意授权后，认证服务器返回给 client 的并不是最终的令牌，而是一个授权码，client再拿着授权去请求令牌。这种方式决定了 client 必须要有后台系统，不是是静态的文件（静态文件 client 可以使用简化模式）。<br>        2)、简化模式(implicit)<br>            用户同意授权后，认证服务器返回给client 的并不是授权码，而是真正的令牌token，这样静态文件client就可以使用这个方式来使用 oauth.<br>        3)、密码模式(resources owner password credentials)<br>        4)、客户端模式(client credentials)</p>

      
    </div>
    
    
    

    

    

    

    <footer class="post-footer">
      
        <div class="post-tags">
          
            <a href="/tags/OAuth/" rel="tag"># OAuth</a>
          
        </div>
      

      
      
      

      
        <div class="post-nav">
          <div class="post-nav-next post-nav-item">
            
              <a href="/2018/11/24/2018-11-24-spring-social-principle/" rel="next" title="Spring Social 介绍及原理">
                <i class="fa fa-chevron-left"></i> Spring Social 介绍及原理
              </a>
            
          </div>

          <span class="post-nav-divider"></span>

          <div class="post-nav-prev post-nav-item">
            
              <a href="/2018/12/09/2018-12-09-Spring-Security-Source-Analysis-1/" rel="prev" title="Spring  Security 源码分析一">
                Spring  Security 源码分析一 <i class="fa fa-chevron-right"></i>
              </a>
            
          </div>
        </div>
      

      
      
    </footer>
  </div>
  
  
  
  </article>



    <div class="post-spread">
      
    </div>
  </div>


          </div>
          


          

  



        </div>
        
          
  
  <div class="sidebar-toggle">
    <div class="sidebar-toggle-line-wrap">
      <span class="sidebar-toggle-line sidebar-toggle-line-first"></span>
      <span class="sidebar-toggle-line sidebar-toggle-line-middle"></span>
      <span class="sidebar-toggle-line sidebar-toggle-line-last"></span>
    </div>
  </div>

  <aside id="sidebar" class="sidebar">
    
    <div class="sidebar-inner">

      

      
        <ul class="sidebar-nav motion-element">
          <li class="sidebar-nav-toc sidebar-nav-active" data-target="post-toc-wrap">
            文章目录
          </li>
          <li class="sidebar-nav-overview" data-target="site-overview-wrap">
            站点概览
          </li>
        </ul>
      

      <section class="site-overview-wrap sidebar-panel">
        <div class="site-overview">
          <div class="site-author motion-element" itemprop="author" itemscope="" itemtype="http://schema.org/Person">
            
              <p class="site-author-name" itemprop="name">sangaizhi</p>
              <p class="site-description motion-element" itemprop="description"></p>
          </div>

          <nav class="site-state motion-element">

            
              <div class="site-state-item site-state-posts">
              
                <a href="/archives/">
              
                  <span class="site-state-item-count">18</span>
                  <span class="site-state-item-name">日志</span>
                </a>
              </div>
            

            
              
              
              <div class="site-state-item site-state-categories">
                <a href="/categories/index.html">
                  <span class="site-state-item-count">4</span>
                  <span class="site-state-item-name">分类</span>
                </a>
              </div>
            

            
              
              
              <div class="site-state-item site-state-tags">
                <a href="/tags/index.html">
                  <span class="site-state-item-count">17</span>
                  <span class="site-state-item-name">标签</span>
                </a>
              </div>
            

          </nav>

          

          

          
          

          
          

          

        </div>
      </section>

      
      <!--noindex-->
        <section class="post-toc-wrap motion-element sidebar-panel sidebar-panel-active">
          <div class="post-toc">

            
              
            
            
              <div class="post-toc-content">  <ol class="nav"><li class="nav-item nav-level-3"><a class="nav-link" href="#一、OAuth-协议要解决的问题是什么"><span class="nav-number">1.</span> <span class="nav-text">一、OAuth 协议要解决的问题是什么</span></a></li><li class="nav-item nav-level-3"><a class="nav-link" href="#二、OAuth-协议中各种角色"><span class="nav-number">2.</span> <span class="nav-text">二、OAuth 协议中各种角色</span></a></li><li class="nav-item nav-level-3"><a class="nav-link" href="#三、OAuth-协议的运行流程"><span class="nav-number">3.</span> <span class="nav-text">三、OAuth 协议的运行流程</span></a></li></ol></div>
            

          </div>
        </section>
      <!--/noindex-->
      

      

    </div>
  </aside>


        
      </div>
    </main>

    <footer id="footer" class="footer">
      <div class="footer-inner">
        <div class="copyright">&copy; <span itemprop="copyrightYear">2018</span>
  <span class="with-love">
    <i class="fa fa-user"></i>
  </span>
  <span class="author" itemprop="copyrightHolder">sangaizhi</span>

  
</div>


  <div class="powered-by">由 <a class="theme-link" target="_blank" href="https://hexo.io">Hexo</a> 强力驱动</div>



  <span class="post-meta-divider">|</span>



  <div class="theme-info">主题 &mdash; <a class="theme-link" target="_blank" href="https://github.com/iissnan/hexo-theme-next">NexT.Muse</a> v5.1.4</div>




        







        
      </div>
    </footer>

    
      <div class="back-to-top">
        <i class="fa fa-arrow-up"></i>
        
      </div>
    

    

  </div>

  

<script type="text/javascript">
  if (Object.prototype.toString.call(window.Promise) !== '[object Function]') {
    window.Promise = null;
  }
</script>









  












  
  
    <script type="text/javascript" src="/lib/jquery/index.js?v=2.1.3"></script>
  

  
  
    <script type="text/javascript" src="/lib/fastclick/lib/fastclick.min.js?v=1.0.6"></script>
  

  
  
    <script type="text/javascript" src="/lib/jquery_lazyload/jquery.lazyload.js?v=1.9.7"></script>
  

  
  
    <script type="text/javascript" src="/lib/velocity/velocity.min.js?v=1.2.1"></script>
  

  
  
    <script type="text/javascript" src="/lib/velocity/velocity.ui.min.js?v=1.2.1"></script>
  

  
  
    <script type="text/javascript" src="/lib/fancybox/source/jquery.fancybox.pack.js?v=2.1.5"></script>
  


  


  <script type="text/javascript" src="/js/src/utils.js?v=5.1.4"></script>

  <script type="text/javascript" src="/js/src/motion.js?v=5.1.4"></script>



  
  

  
  <script type="text/javascript" src="/js/src/scrollspy.js?v=5.1.4"></script>
<script type="text/javascript" src="/js/src/post-details.js?v=5.1.4"></script>



  


  <script type="text/javascript" src="/js/src/bootstrap.js?v=5.1.4"></script>



  


  




	





  





  












  





  

  

  

  
  

  

  

  

</body>
</html>
